Langfristige Sicherheit am Beispiel eines virtuellen Tresors
Lucie Langer, Alex Wiesmaier Technische Universit¨ at Darmstadt Kryptographie und Computeralgebra
[langer|wiesmaier]@cdc.informatik.tu-darmstadt.de
Ab November 2010 wird in Deutschland der elektronische Personalausweis an die B¨urger ausgegeben. Ziel dieser Einf¨uhrung ist es, den bisherigen Personal- ausweis um elektronische Funktionen zu erg¨anzen und damit den Herausfor- derungen und M¨oglichkeiten der Gegenwart anzupassen [BdI08]. Neben einer zus¨atzlichen Aufnahme biometrischer Merkmale f¨ur hoheitliche Personenkon- trollen wird der Ausweis seinem Halter einen elektronischen Identit¨atsnachweis
¨uber das Internet erm¨oglichen. Dar¨uber hinaus wird der elektronische Personal- ausweis auch die Option qualifizierter elektronischer Signaturen bieten. Dadurch werden zahlreiche neue Anwendungen in eGovernment und eBusiness m¨oglich gemacht, die dem B¨urger ein erh¨ohtes Maß an Flexibilit¨at und Mobilit¨at bieten.
Eine innovative Anwendung des elektronischen Personalausweises ist Thema eines interdisziplin¨aren Forschungsprojekts, dessen Vorhaben im Folgenden be- schrieben wird. Ziel des Projekts ist die Entwicklung eines Konzepts zur lang- fristig sicheren Aufbewahrung und mobilen Bereitstellung pers¨onlicher Daten durch ein elektronisches Schließfach: DerLifetime eSafe erlaubt es dem Nutzer, wichtige pers¨onliche Dokumente langfristig sicher und vertraulich abzulegen und erm¨oglicht gleichzeitig den mobilen Zugriff auf diese Dokumente. Des Weiteren soll der Benutzer des eSafe auch anderen Personen Zugriff auf ausgew¨ahlte Da- ten gew¨ahren k¨onnen. Der elektronische Personalausweis erm¨oglicht die sichere Authentisierung des Benutzers am eSafe. F¨ur den Prototypen des eSafe sind im Einzelnen folgende Funktionalit¨aten eingeplant:
• Die Nutzer k¨onnen beliebige Daten sicher auf ihren eSafe hochladen. Typi- scherweise sind dies auf Lebenszeit g¨ultige Dokumente wie VBL-Bescheide, Zeugnisse, Empfehlungsschreiben, usw.
• Die Nutzer k¨onnen feingranular (z.B. einzelne Dokumente, einzelne Per- sonen) und grobgranular (z.B. Dokumentengruppen, Personengruppen) Zugriffsrechte f¨ur von den Nutzern ausgew¨ahlte Teile des eSafes geben.
Diese Rechte k¨onnen zeitlich limitiert werden, und es besteht außerdem die M¨oglichkeit, die Anzahl der Zugriffe zu beschr¨anken. Eine Beispielan- wendung hierf¨ur sind Zeugnisse und Empfehlungsschreiben, die im Rah- men von Bewerbungen den Entscheidern zur Verf¨ugung gestellt werden;
durch den eSafe wird hier das Verschicken umfangreicher eMail-Anh¨ange vermieden.
Die Vertraulichkeit der im eSafe gespeicherten Daten wird dadurch gew¨ahrleistet, dass der eSafe von einem verteilten Dienstleisterkonsortium betrieben wird.
Selbst wenn mehrere Mitglieder des Konsortiums miteinander kooperieren, um die Vertraulichkeit der Daten zu kompromittieren, bleiben die Daten geheim, so- lange ein konfigurierbarer Anteil der Konsortialpartner nicht kollaboriert. Dies wird garantiert durch den Einsatz eines Speicherkonzepts, welches auf Shamirs Secret Sharing [Sha79] zur¨uckgeht und bereits von Doi et al. beschrieben wurde
[MDNK08]. Die grundlegende Idee besteht darin, dass eine Datei auf eine be- stimmte Anzahl von Bl¨ocken aufgeteilt wird. Jeder dieser Bl¨ocke wird dann als eigenst¨andiges Geheimnis betrachtet und in Form vonShares auf dienKonsor- tialpartner verteilt. Nach dem Muster des Secret Sharing mit den Parametern (n, k) [Sha79] werden dann zur Bereitstellung einer Dateikverschiedene Shares dernKonsortialpartner ben¨otigt. Weniger alskKonsortialpartner sind dagegen nicht in der Lage, eine Datei zu rekonstruieren. Gleichzeitig hat man hierdurch ein skalierbares Maß an Redundanz: Der Verlust oder die Kompromittierung von bis zun−kShares ist unkritisch. Der genaue Ablauf der verteilten Speicherung und Rekonstruktion wird weiter unten n¨aher beschrieben.
Komponenten
Der eSafe beinhaltet im Wesenlichen die folgenden Komponenten:
• Client: PC, von dem aus der Nutzer agiert.
• Webserver: Stellt dem Client die Seite mit den ben¨otigten Skripten zur Verf¨ugung, ¨uber die der Nutzer auf seine Daten zugreifen kann. Der Webser- ver ist aber nicht im Besitz der eigentlichen Dateien, sondern enth¨alt nur eine Datenbank mit deren Metainformationen, die er dem Client pr¨asentiert.
• Storageserver: Auf den Storageservern werden die Shares gespeichert. Da- bei soll jeder Konsortialpartner einen Storageserver betreiben und sich um die ordnungsgem¨aße Wartung sowie um ein regelm¨aßiges Backup k¨ummern.
• Authentifizierungsapplet: Wird benutzt, um sich mit Hilfe des elektroni- schen Personalausweises gegen¨uber dem Webserver zu authentifizieren.
• Ubertragungsapplet: Generiert die Shares auf dem Client und ¨¨ ubertr¨agt sie an die Storageserver bzw. holt die Shares von den Storageservern und setzt diese wieder zusammen.
Generieren der Shares
Wir definieren zun¨achst kurz die Vorgehensweise zur Verteilung eines Geheim- nisses nach [Sha79]: Sei F ein algebraischer K¨orper, S ∈ F das Geheimnis, k, n∈Nmitk≤n. W¨ahlek−1 geheime Koeffizientenai∈F, i= 1,2, . . . , k−1 des Polynoms
f(x) =
k−1
X
i=0
aixi=S+
k−1
X
i=1
aixi
mita0=S, d.h. das Geheimnis ist der konstante Term des Polynoms. W¨ahlen paarweise verschiedene IDsxi∈F, i= 1,2, . . . , n. F¨ur dienPaare (xi, f(xi)) = (xi, yi) miti= 1,2, . . . , ngilt
y1
y2
...
yn
=
1 x1 x21 . . . xk−11 1 x2 x22 . . . xk−12
... ... ... . .. ...
1 xn x2n . . . xk−1n
| {z }
n×k Matrix
S a1
a2
...
ak−1
Dabei istyi der Geheimnisteil zur IDxi. Dieyi werden nun an die nverschie- denen Instanzen verteilt.
Um eine Datei im eSafe zu speichern, wird diese zun¨achst in b Bl¨ocke der L¨angem Bits aufgeteilt. Jeder Block wird einzeln als GeheimnisS betrachtet, und mit obiger Gleichung berechnet man inb Iterationen f¨ur feststehende IDs die zugeh¨origen Geheimnisteile. Geheimnisteile mit selber ID werden daraufhin in einer Datei zusammengefasst und bilden ein sogenanntesShare. Insgesamt gibt es alson Shares (bestehend aus jeb Geheimnisteilen), die auf den nver- schiedenen Storageservern gespeichert werden.
Um eine Datei zu rekonstruieren, muss jeder derbBl¨ocke rekonstruiert wer- den, aus denen die Datei besteht. Jeder dieser Bl¨ocke bildet ein GeheimnisS.
UmS zu rekonstruieren ben¨otigt mank Paare (xji, yji), i= 1,2, . . . , k aus ID und zugeh¨origem Geheimnisteil:
S a1
a2
...
ak−1
=
1 xj1 x2j
1 . . . xk−1j
1
1 xj2 x2j
2 . . . xk−1j
2
... ... ... . .. ...
1 xjk x2jk . . . xk−1j
k
−1
| {z }
k×k Matrix
yj1
yj2
...
yjk
Das Geheimnis kann nun durch Lagrange-Interpolation rekonstruiert wer- den:
S=f(0) =
k
X
i=1
yji k
Y
l=1,l6=i
xjl xjl−xji
Auf diese Weise wird ¨uber die Rekonstruktion der einzelnen Bl¨ocke die gesamte Datei wiederhergestellt.
Kommunikation
Die ¨Ubertragung der Shares vom Clientrechner zu den Storageservern und umge- kehrt erfolgt unter Einsatz von Protokolle wie TLS oder IPsec. Der eingesetzte Verschl¨usselungsalgorithmus ist variabel; dabei sind folgende Konfigurationen m¨oglich:
fixed Bei jeder Sitzung wird derselbe, vorher festgelegte Algorithmus verwen- det.
random Bei jeder Sitzung wird zuf¨allig und gleichverteilt ein Algorithmus aus einer festgelegten Menge m¨oglicher Algorithmen gew¨ahlt.
distinct Bei jeder Sitzung wird garantiert ein anderer Algorithmus verwendet.
So kann beispielsweise auch beim Hochladen der Shares auf die Storages- erver f¨ur die Verbindung zu jedem einzelnen Storageserver ein unterschied- licher Algorithmus zum Verschl¨usseln eingesetzt werden.
Der Nutzer des eSafe kann das System entsprechend konfigurieren und damit an sein pers¨onliches Sicherheitsbed¨urfnis anpassen.
Langfristige Sicherheit
Durch das beschriebene Speicherkonzept wird erreicht, dass die Vertraulichkeit der gespeicherten Daten nicht von der Sicherheit eines Kryptosystems abh¨angt.
Diese Sicherheit ist in der Regel zeitlich beschr¨ankt und abh¨angig von der Wahl der verwendeten Schl¨ussell¨angen. Das beschriebene System ist damit in beson- derem Maße f¨ur eine langfristige Speicherung elektronischer Daten geeignet.
Aus diesem Grund kann der eSafe als Langzeitspeicher in die vom Bundesamt f¨ur Sicherheit in der Informationstechnik entwickelte Referenzarchitektur zur vertrauensw¨urdigen Langzeitarchivierung [Bun09] integriert werden.
F¨ur die langfristige Lesbarkeit der gespeicherten Dokumente spielt die Wahl geeigneter Datenformate eine zentrale Rolle. Diese sollten standardisiert und langlebig sein. Als f¨ur die Langzeitaufbewahrung geeignete Formate gelten unter anderem PDF/A sowie XML. Die Wahl geeingneter Datenformate liegt in der Verantwortung des eSafe-Nutzers.
Weiterhin ist zu beachten, dass elektronische Signaturen ebenfalls einem Al- terungsprozess unterliegen und mit der Zeit ihre Beweiskraft verlieren k¨onnen (vgl. [BPRS02, Arcb, Arca]). Zum Erhalt qualifizierter Signaturen fordert §17 der Signaturverordnung vor Ablauf der Sicherheitseignung der verwendeten Al- gorithmen und Parameter eine neue qualifizierte Signatur, die die bisherigen Signaturen einschließt, sowie einen qualifizierten Zeitstempel [Sig]. Sofern der verwendete Hash-Algorithmus noch als sicher gilt, reicht es aus, lediglich die bis- herigen Signaturen mit einem qualifizierten Zeitstempel zu versehen [BPRS02].
Stellt der Nutzer ein signiertes Dokument in seinen eSafe ein, so wird er durch
das System informiert, sobald die Signatur erneuert werden muss. W¨unschenswert w¨are es, dass f¨ur die Erneuerung der Signatur nicht die betroffene Datei rekon- struiert werden muss, sondern lediglich die entsprechenden Shares neu signiert werden. L¨osungen f¨ur dieses Problem werden derzeit innerhalb des Forschungs- projekts entwickelt.
Literaturverzeichnis
[Arca] ArchiSafe. http://www.archisafe.de/, last checked 24.04.2009.
[Arcb] ArchiSig – Beweiskr¨aftige und sichere Langzeitarchivierung digi- tal signierter Dokumente. http://www.archisig.de/, last checked 24.04.2009.
[BdI08] Bundesministerium des Innern. Einf¨uhrung des elektronischen Per- sonalausweises in Deutschland. Grobkonzept – Version 2.0, Ju- li 2008. http://213.216.17.150/DOL/Anlagen/Anlage_A13_ePA_
Grobkonzept2.0.pdf.
[BPRS02] Ralf Brandner, Ulrich Pordesch, Alexander Roßnagel, and Joachim Schachermayer. Langzeitsicherung qualifizierter elektronischer Si- gnaturen. DuD, 26, 2002.
[Bun09] Bundesamt f¨ur Sicherheit in der Informationstechnik. Vertrau- ensw¨urdige elektronische Langzeitarchivierung (VLA). Technische Richtlinie VLA (BSI-TR-03125), in Vorbereitung, 2009.
[MDNK08] Toshiyuki Miyamoto, Shinji Doi, Hiroki Nogawa, and Sadatoshi Ku- magai. Autonomous distributed secret sharing storage system. Sy- stems and Computers in Japan, 37(6):55–63, 2008.
[Sha79] Adi Shamir. How to share a secret. Commun. ACM, 22(11):612–
613, 1979.
[Sig] Verordnung zur elektronischen Signatur, sigv. http:
//bundesrecht.juris.de/sigv_2001/index.html, last checked 24.04.2009.